Buscar

Páginas

ATENA EKSTERNAL

Konfigurasi Jaringan Akses Internal dan Eksternal untuk Perangkat
2/9/2009 Bagian ini memberikan rekomendasi untuk mengkonfigurasi Windows mengakses perangkat Mobile Device Manager dalam Pusat Sistem Mobile.
Dd261890.note (en-us, TechNet.10). Gif Catatan:
Untuk mempelajari lebih lanjut tentang konfigurasi firewall untuk MDM, lihat artikel teknis berikut dalam TechCenter MDM: Konfigurasi Firewall Eksternal dan Internal pada Manajer Mobile Device .
Sebagai pedoman keseluruhan, kami sarankan Anda menerapkan setiap aturan firewall secara point-to-point antara sumber tertentu dan host tujuan. Jangan membuat aturan mutlak yang memungkinkan semua lalu lintas dari satu jenis untuk melewati terlepas dari sumber dan tujuan.
Diagram berikut menunjukkan lalu lintas jaringan MDM dan port dan protokol yang terkait.
Dd261890.f4ac19d5-cb58-4872-949c-c9ba92a7923f (en-us, TechNet.10). Gif
Meskipun diagram di atas menunjukkan lalu lintas jaringan dua arah antara Server dan Device Management MDM MDM Gateway Server pada port 443, tidak pernah secara langsung sesi dimulai dari Server Gateway MDM ke server menjalankan Server Manajemen Perangkat MDM.
Dd261890.note (en-us, TechNet.10). Gif Penting:
Kami telah melakukan segala upaya untuk memastikan bahwa kita telah mengidentifikasi semua lalu lintas yang dikenal dan port. Namun, aplikasi line-of-business (LOB) internal yang mungkin menggunakan port IP khusus. Dalam kasus ini, Anda harus mengkonfigurasi firewall secara terpisah. Bimbingan disediakan di sini untuk arah arus lalu lintas dan yang firewall (internal atau eksternal) untuk memodifikasi tetap akurat.
Untuk pendaftaran perangkat untuk sukses, Anda harus mempublikasikan contoh IIS terletak di Server Pendaftaran MDM eksternal, dan harus memiliki Domain Name System (DNS) <A> record yang menunjuk ke mobileenroll domain.. Com, dimana domain adalah diganti dengan domain nama untuk perusahaan Anda.
Layanan Pendaftaran menggunakan kemampuan auto-mendeteksi di mana Server Pendaftaran MDM mendorong pengguna mendaftar untuk Mail transfer Sederhana Protocol (SMTP) e-mail. Perangkat lunak otomatis mendeteksi menggunakan bagian host dari alamat e-mail untuk menginterogasi DNS untuk mencari Server Pendaftaran MDM. Secara default, nama host MobileEnroll.
Jika selama proses pendaftaran, catatan <A> DNS tidak terletak otomatis, klien MDM pada perangkat meminta pengguna untuk memasukkan nama Server MDM Pendaftaran. Anda harus menyediakan pengguna Anda dengan nama server yang ramah sehingga mereka dapat menyelesaikan catatan DNS dan berhasil mendaftar. Pilihan lain untuk mendaftar dari koneksi internal untuk memastikan bahwa menyelesaikan mobileenroll.domain.com internal ke alamat IP internal, bukan satu eksternal.
Kami menyarankan Anda menggunakan praktek-praktek terbaik berikut untuk menerbitkan sebuah server yang menjalankan IIS untuk internet:
  • Gunakan produk, seperti Internet Security dan Percepatan (ISA) Server 2006, untuk menggunakan kemampuan untuk membuat contoh IIS tersedia untuk klien eksternal dengan cara yang lebih aman.
  • Membuat komputer yang menjalankan Server Pendaftaran MDM lebih aman dengan menjalankan Wizard Konfigurasi Keamanan yang tersedia di Windows Server 2003 SP1, dan kemudian ikuti template Web Server. Hal ini juga dikenal sebagai server pengerasan sebuah.
Dd261890.note (en-us, TechNet.10). Gif Catatan:
MDM VPN Diagnostik Alat menampilkan konfigurasi VPN dan status untuk membantu Anda mendiagnosa masalah perangkat dikelola yang disebabkan oleh konfigurasi VPN yang salah. Anda juga dapat menghasilkan dikelola file perangkat laporan log untuk mengirim ke tim diagnostik untuk analisa lebih lanjut. Untuk men-download MDM VPN Alat Diagnostik, lihat Peralatan MDM Klien di halaman Web Microsoft: http://go.microsoft.com/fwlink/?LinkID=127030 .
Pertimbangkan praktik terbaik berikut dan rekomendasi ketika Anda mengkonfigurasi perangkat akses aplikasi LOB berhasil.
  • Anda harus alamat aplikasi LOB berdasarkan kasus per kasus untuk menentukan port mana yang digunakan. Administrator yang merancang dan menerapkan MDM harus memastikan bahwa mereka tahu apakah aplikasi LOB internal yang menggunakan port IP lainnya daripada TCP 443. Setelah Anda menentukan port mana yang digunakan, memutuskan bagaimana Anda harus mengkonfigurasi aturan firewall untuk mengaktifkan akses untuk aplikasi LOB khusus, sedangkan Anda meminimalkan paparan keamanan yang tidak perlu mengkonfigurasi akses yang lebih umum.
  • Meskipun sebagian besar ponsel-aplikasi diangkut end-to-end melalui TCP 443 (SSL) dalam sesi IPsec MDM, MDM tidak membatasi port yang aplikasi pelanggan bisa digunakan. MDM MDM Gateway dan Server, khususnya, adalah mekanisme yang digunakan untuk mencapai konektivitas yang lebih aman. Pelanggan kebutuhan aplikasi akan bervariasi. Sebagai contoh, Anda dapat memutuskan untuk mengubah aturan firewall untuk memungkinkan aplikasi LOB untuk mengangkut melalui TCP 443 untuk server tertentu, bukan untuk mengkonfigurasi firewall untuk mengaktifkan semua TCP 443 lalu lintas.
  • Contoh aplikasi infrastruktur yang Anda harus mengaktifkan untuk melintasi firewall internal DNS (UDP 53) dan Remote Desktop Protocol (RDP) (TCP 3389).
Pertimbangkan praktik terbaik berikut dan rekomendasi ketika Anda mengkonfigurasi perangkat akses ke sumber daya jaringan berhasil di luar jaringan perusahaan.
  • Dalam MDM, koneksi perangkat-ke-gateway dalam keadaan selalu-up dan semua rute lalu lintas melalui Gateway Server MDM.
  • Secara default, IPsec split-tunneling dimatikan dalam MDM sebagai praktik terbaik. Dengan mematikan split tunneling, Anda dapat memastikan bahwa Anda menegakkan kebijakan perusahaan di situs web diijinkan dan konten untuk pengguna perangkat dikelola.
  • Ketika sebuah perangkat berhasil berhasil terhubung ke MDM, MDM masalah Gateway Server perangkat alamat IP internal. Jika alamat IP adalah alamat (routable) IP publik, Anda tidak harus mengambil tindakan tambahan, kecuali untuk memastikan bahwa port yang benar terbuka.
  • Jika rentang alamat yang digunakan untuk mengeluarkan alamat klien bagian dari kisaran RFC1918, sesi klien keluar harus tunduk pada Network Address Translation (NAT) atau proxy. Tanpa proxy, pengguna perangkat dikelola tidak dapat mengakses Internet.
  • Terlepas dari apakah sesi klien keluar tunduk pada proxy, Server Gateway MDM harus rute alamat dikeluarkan ke kolam perangkat dikelola dengan benar untuk memungkinkan egress. Aturan harus ada pada firewall eksternal untuk mengaktifkan lalu lintas perangkat berhasil lulus melalui HTTP dan SSL.

0 komentar:

Posting Komentar